Cookie stuffing to rodzaj oszustwa afiliacyjnego, w której atakujący lub nieuczciwy wydawca umieszcza pliki cookie (afiliacyjne) lub śledzące na urządzeniu użytkownika bez jego znaczącej zgody lub jakiejkolwiek uzasadnionej interakcji, która uzasadniałaby użycie pliku cookie.
Celem jest zapewnienie, że przyszły zakup lub konwersja zostanie przypisana do identyfikatora afiliacyjnego atakującego, dzięki czemu zbierają oni prowizję lub kredyt za polecenie, którego nie zarobili w sposób uczciwy.
Technicznie, cookie stuffing często wykorzystuje ukryte iframy, niewidoczne obrazy lub żądania skryptów, przekierowania w tle lub rozszerzenia przeglądarki, które cicho ładują adresy URL śledzenia partnerów. Ponieważ te żądania ustawiają pliki cookie powiązane z kontami afiliacyjnymi, późniejsze zakupy dokonane bezpośrednio u sprzedawcy wydają się pochodzić z polecenia atakującego i są odpowiednio przypisywane.
Cookie stuffing vs. click‑hijacking
Cookie stuffing różni się od click‑hijacking głównie obecnością i charakterem interakcji użytkownika. W click‑hijacking istnieje rzeczywiste kliknięcie użytkownika, ale to kliknięcie jest przechwytywane, przekierowywane lub fałszowane, aby atakujący otrzymał kredyt.
Techniki click‑hijacking (o których pisaliśmy w zeszłym tygodniu) mogą obejmować nakładanie niewidocznych elementów klikalnych na prawdziwe przyciski, zastępowanie linków, manipulowanie obsługą zdarzeń lub wstawianie złośliwych przekierowań w ścieżce, tak aby zamierzona akcja użytkownika uruchamiała link afiliacyjny atakującego.
W przeciwieństwie do tego, cookie stuffing nie wymaga, aby użytkownik cokolwiek klikał. Pliki cookie są umieszczane po cichu podczas ładowania strony lub za pomocą procesów w tle, więc przypisanie jest ustawione z góry przed jakimkolwiek zakupem. Praktycznym skutkiem jest to, że cookie stuffing dotyczy prewencyjnego roszczenia przyszłych konwersji, podczas gdy click‑hijacking dotyczy kradzieży przypisania związanego z konkretną akcją użytkownika.
Strategie wykrywania i naprawy
Strategie wykrywania cookie stuffing obejmują zwracanie uwagi na podejrzane sygnały, takie jak wysoki odsetek przypisanych konwersji, które nie mają odpowiadających im przychodzących kliknięć, niezwykle duża liczba przypisań pierwszego kontaktu z niskim zaangażowaniem lub stronami bez poleceń oraz identyfikatory afiliacyjne, które pokazują konwersje pochodzące z ukrytych lub zewnętrznych kontekstów.
Skuteczna obrona przed cookie stuffing obejmuje wymaganie kliknięcia na początku scieżki lub tokenów interakcji,krótszy czas cookie, używanie weryfikacji kliknięć po stronie serwera, wdrażanie tokenizowanych identyfikatorów kliknięć, które muszą pasować do zarejestrowanego kliknięcia, oraz aktywne monitorowanie wzorców przypisania dla anormalnych poleceń.
W przypadku click‑hijacking wykrywanie koncentruje się na nieprawidłowych łańcuchach przekierowań, niedopasowanych znacznikach czasu kliknięcia w porównaniu do znaczników czasu konwersji, dużych ilościach kliknięć pochodzących z podejrzanych źródeł oraz skargach użytkowników na dziwne zachowania.
Branże, które są szczególnie zagrożone
Marki i branże najbardziej narażone na cookie stuffing to te z wysokimi wydatkami na afiliacje, wysokimi wartościami pojedynczych transakcji lub długimi oknami przypisania plików cookie. Sprzedawcy e‑commerce są szczególnie narażeni, ponieważ duże ilości bezpośrednich zakupów i duże poleganie na programach afiliacyjnych sprawiają, że takie działanie staje się opłacalne.
Branża turystyczna / hotelowa, w tym linie lotnicze, hotele i internetowe agencje turystyczne, są także zagrożene, ponieważ pojedyncze rezerwacje to transakcje o wysokiej wartości. Sektory finansowe i ubezpieczeniowe, gdzie leady, rejestracje kart kredytowych i zakupy polis wymagają dużych wypłat CPA, przyciągają rzesze nieuczciwych „wydawców”. Dostawcy telekomunikacyjni i usług, którzy oferują subskrypcje są także narażeni, ponieważ skradzione raz przypisanie może przynosić ciągłe korzyści w kolejnych miesiącach.
Strony z grami i hazardem, platformy subskrypcyjne wideo i treści oraz dostawcy oprogramowania/SaaS to kolejne częste cele. Także pośrednicy, tacy jak strony z kuponami i cashbackiem, sieci afiliacyjne i platformy ad‑tech, mogą z jednej strony popełniać takie czyny, a z drugiej cierpieć z powodu cookie stuffing, ponieważ kontrolują warstwy śledzenia i przypisania, które atakujący mogą próbować manipulować.
Konsekwencje cookie‑stuffing
Kilka dobrze udokumentowanych przypadków ilustruje skalę i konsekwencje schematów cookie‑stuffing. Jednym z najbardziej znanych przykładów jest przypadek eBay i afiliantów takich jak Shawn Hogan i Brian Dunning. W połowie lat 2000 eBay twierdził, że niektórzy afilianci stosowali widgety, ukryte przekierowania i inne techniki do masowego umieszczania plików cookie afiliacyjnych eBay; działania eBay doprowadziły do postępowań prawnych i zarzutów karnych, z pozwami o dziesiątki milionów dolarów pobranych w nielegalnych prowizjach.
W ostatnim czasie procesy sądowe i relacje medialne dotyczące niektórych popularnych rozszerzeń przeglądarek i narzędzi agregujących udowodniły, że pliki cookie twórców były nadpisywane otwierając ukryte karty lub inicjując żądania w tle, które przekierowywały prowizje. Te spory przyciągnęły znaczną uwagę w prasie branżowej.
Raporty bezpieczeństwa dokumentowały wiele rozszerzeń Chrome, które zostały zaktualizowane z złośliwym kodem lub sprzedane operatorom, którzy wstrzykiwali iframy/przekierowania do cookie stuffing. Przynajmniej jedno powszechnie używane rozszerzenie narzędziowe zostało usunięte z Chrome Web Store po tym, jak badacze odkryli, że wstrzykiwało ukryte żądania iframe do przekierowań afiliacyjnych.
Śledztwa i procesy sądowe prowadzone przez twórców twierdziły, że rozszerzenie przeglądarki Honey otwierało żądania w tle/ukryte karty, aby ładować linki afiliacyjne PayPal/Honey i nadpisywać pliki cookie afiliacyjne twórców, przekierowując prowizje. W pozwie zbiorowym twórcy złożyli skargę informując o celowej ingerencji i naruszeniu standardów branżowych. Akta i raporty branżowe pokazują, że sprzedawcy i twórcy zakończyli partnerstwa po ujawnionych informacjach.
Rozwiązywanie problemu cookie stuffing
Rozwiązywanie problemu cookie stuffing wymaga połączenia kontroli technicznych, zarządzania programem i ciągłego monitorowania.
Kontrole techniczne mogą obejmować tokenizowane identyfikatory kliknięć, rejestrowanie kliknięć po stronie serwera, bardziej rygorystyczną weryfikację danych polecenia i pochodzenia, krótsze czasy życia plików cookie oraz użycie podpisanych lub jednorazowych tokenów śledzenia. Praktyki zarządzania problemem obejmują natomiast bardziej rygorystyczne weryfikowanie afiliantów, rutynowe audyty wydawców o wysokiej wartości, klauzule umowne zakazujące ukrytego umieszczania plików cookie oraz szybkie cofanie i/lub odzyskiwanie podejrzanych prowizji.
Ciągłe monitorowanie powinno uwzględniać wzorce obejmujące atrybucję pierwszego kontaktu, sprawdzać konwersje afiliacyjne pochodzące z nieprawdopodobnych stron lub kontekstów klienta oraz oznaczać afiliantów z wskaźnikami konwersji lub wartościami życiowymi, które znacznie odbiegają od oczekiwanych bazowych.
Podsumowując, cookie stuffing to taktyka oszustwa, która potajemnie umieszcza na urządzeniach pliki cookie afiliacyjne, aby rościć sobie przyszłe konwersje. Marki z dużymi programami afiliacyjnymi lub transakcjami o wysokiej wartości są szczególnie narażone, a głośne przypadki prawne i branżowe pokazały zarówno finansową skalę nadużyć, jak i dostępne środki regulacyjne i umowne dla reklamodawców i sieci.
W przyszłym tygodniu zagłębimy się w techniczne kontrole i praktyki zarządzania. Zostańcie z nami.
